论文部分内容阅读
摘 要:本文首先介绍了IEC61850规约给变电站发展带来的变化,讲述了数字化变电站的网络通信关键技术:网络安全对策、VLAN技术、数据加密技术、信息隔离及防护,重点讲述110kV景东变电站安全大区与管理大区信息隔离和防护措施。
关键词:数字化,互操作性,信息安全,加密技术 ,隔离装置
1.引言
IEC61850[1]标准全称是背对着通信网络和系统,它规范了变电站内智能电子设备之间的通信行为和相关的系统要求,是变电站自动化系统通信体系结构的一个国际标准,IEC61850的运用大幅度改善变电站自动化系统智能电子设备的数据集成,把变电站分成站控层、间隔层、过程层,站控层通过高速网络汇总全站实时数据信息,并将信息送往调度和集控中心,接受有关控制命令并转间隔层、过程层执行,并且还具有站内监控、人机联系、设备在线监测、在线修改参数等功能。具体设备包括变电站监控系统、远动系统、五防系统、电能量系统、通信控制系统、图像监控系统。
随着IEC61850在数字化变电站的推广运用,大家都在研究通过IEC61850规约实现同视频监控、信息管理系统等系统接口,系统间的通信在满足网络安全防护要求,信息的安全性必须要求得到保证。
2 .数字化变电站通信关键技术
IEC61850运用于数字化变電站使变电站实现了二次设备的网络化,设备间信息交换通过网络交换机实现,信息交换主要靠网络安全对策、VLAN技术、数据加密技术、信息隔离来实现变电站网络信息的安全防护。
2.1 数字化变电站信息安全对策
虽然基于IEC 61850标准协议建立起来的通信网络体系结构在上层协议上是一致的,而且也大大提高变电站内设备的互操作性和互换性,但是协议的开放性和标准性同样带来一个重要的问题:二次系统的安全性问题。数字化变电站内由于各种智能电子设备的大量应用,变电站内运行、状态和控制等数字化信息需要传送,负责传送这些信息的网络通讯系统成为数字化变电站的重要平台,因而,网络可靠性直接关系着数字化变电站的良好运行。所以信息安全和网络可靠性自然成为人们较为关注的两个焦点。目前解决这两个问题主要采用的技术措施分为两类,即加密技术和防火墙技术。
2.2 加密技术
加密技术的基本原理是对网络中传输的数据进行加密处理,到达目的地址后再解密还原为原始数据,从而防止非法用户对信息的截取和盗用。
加密技术主要分为数据传输加密和数据存储加密。数据传输加密技术主要是对传输中的数据流进行加密,常用的有链路加密、节点加密和端到端加密三种方式。
传输数据仅在物理层前的数据链路层进行加密,不考虑信源和信宿的方式属于链路加密,它用于保护通讯节点间的数据,接收方是传送路径上的各台节点机,信息在每台节点机内都要被解密和再加密,依次进行,直至到达目的地。
节点加密方法与链路加密类似,不同的是在节点处采用一个与节点机相连的密码装置,密文在该装置中被解密并被重新加密,明文不通过节点机,避免了链路加密节点处易受攻击的缺陷。
端到端加密是在应用层完成的,是为数据从一端到另一端提供的加密方式。数据在发送端被加密,在接收端解密,中间节点处不以明文的形式出现。在端到端加密中,除报头外的的报文均以密文的形式贯穿于整个传输过程,只是在发送端和接收端才有加密、解密设备,报文在中间任何节点均不解密,因此,不需要有密码设备,同链路加密相比,可减少密码设备的数量。另一方面,信息是由报头和报文组成的,报文为要传送的信息,报头为路由选择信息,由于网络传输中要涉及到路由选择,若使用链路加密,则报文和报头两者均须加密。而使用端到端加密时,由于通道上的每一个中间节点虽不对报文解密,但为将报文传送到目的地,必须检查路由选择信息,因此,只能加密报文,而不能对报头加密。这样就容易被某些通讯分析察觉,而从中获取某些敏感信息。
链路加密对用户来说比较容易,使用的密钥较少,而端到端加密比较灵活,对用户可见。在对链路加密中各节点安全状况不放心的情况下也可使用端到端加密方式。
2.3 防火墙技术
防火墙技术通过对网络的隔离和限制访问等方法,来控制网络的访问权限,从而保证变电站综合自动化系统的网络安全。但是由于防火墙只能够对跨越网络边界的信息进行监测、控制,而对网络内部人员的攻击不具备防范能力。因此单纯依靠防火墙来保护网络的安全性是不够的,还必须与其它安全措施(如加密技术等)综合使用,才能达到目的。 2.4 VLAN技术的运用
VLAN技术的运用,能将不同地点、不同网络、不同用户组合在一起,形成一个虚拟的网络环境 ,就像使用本地LAN一样方便、灵活、有效。VLAN可以降低移动或变更工作站地理位置的管 理费用,特别是一些业务情况有经常性变动的公司使用了VLAN后,这部分管理费用大大降低。
VLAN可以提供建立防火墙的机制,防止交换网络的过量广播。使用VLAN,可以将某个交换端口或用户赋于某一个特定的VLAN组,该VLAN组可以在一个交换网中或跨接多个交换机, 在一个VLAN中的广播不会送到VLAN之外。同样,相邻的端口不会收到其他VLAN产生的广播。这样可以减少广播流量,释放带宽给用户应用,减少广播的产生。
一个VLAN就是一个单独的广播域,VLAN之间相互隔离,这大大提高了网络的利用率,确保了网络的安全保密性。人们在LAN上经常传送一些保密的、关键性的数据。保密的数据应 提供访问控制等安全手段。一个有效和容易实现的方法是将网络分段成几个不同的广播组, 网络管理员限制了VLAN中用户的数量,禁止未经允许而访问VLAN中的应用。交换端口可以基于应用类型和访问特权来进行分组,被限制的应用程序和资源一般置于安全性VLAN中。
2.5 信息隔离及防护 随着通信技术和网络技术的发展,安全大区和管理大区数据交换也越来越频繁。电力一次设备的改善使得其可控性能满足闭环的要求,变电站逐步实现无人职守,大量采用远方控制,对电力控制系统和数据网络的安全性、可靠性、实时性提出了新的严峻挑战。而另一方面,Internet技术和因特网已得到广泛使用,同时病毒和黑客也日益猖獗。
信息交换在没有进行有效安全隔离的情况下与其他数据网络互连,构成了对电网安全运行的严重隐患。除此之外,还存在黑客在调度数据网中采用“搭接”的手段对传输的电力控制信息进行“窃听”和“篡改”,进而对电力一次设备进行非法破坏性操作的威胁。
电力专用安全隔离装置作为安全区I/II与安全区III的必备边界,要求具有最高的安全防护强度,是安全区I/II横向防护的要点。
其中,安全隔离装置(正向)用于安全区I/II到安全区III的单向数据传递;安全隔离装置(反向)用于安全区III到安全区I/II的单向数据传递。
3.我局110kV景东变安全大区与管理大区信息隔离和防护措施
我局110kV景东变二次设备实现了网络化,信息交换主要通过网络交换机化VLAN实现不同设备间信息交换,安全大区的信息交换主要是通过VLAN及时进行划分实现了信息的软隔离和防护。
视频图像和变电站操作联动的运用将管理大区的信息有效结合于安全大区,跨区间的边界防护是网络安全防护的重点部位,按照南方电网公司网络安全防护方针“整体部署、安全分区、横向隔离、纵向认证”,跨区信息交换必须使用物理隔离,按照网络安全防护要求我局110kV景东变图像监控系统同变电站自动化系统间部署了珠海鸿瑞单比特正向隔离装置,实现了跨区间信息的有效隔离和防护。
4.結束语
讲述了数字化变电站的网络通信关键技术:网络安全对策、VLAN技术、数据加密技术、信息隔离及防护,重点讲述我局110kV景东变安全大区与管理大区信息隔离和防护措施,经过实际运行证明我局110kV景东变安全大区与管理大区信息隔离和防护措施是可行的。
参考文献
[1] 梁志斌 变电站综合自动化及发展[J]. 湖北电力.2000.(3):17—18
[2] 任雁铭,秦立军,杨奇逊. IEC 61850通信协议体系介绍和分析[J]. 电力系统自动化.2000.24(8):62—64
[3] 邱崇霞 加密技术在网络中的应用[J].科技信息(学术研究). 2007年08期:191
作者简介:
梁鸭红(1978),男,云南人,云南电网公司普洱供电局调度中心自动化班班长,本科,从事调度自动化工作。
黄丕波(1977),男,云南人,云南电网公司普洱供电局调度中心主任,大专,从事电网调度管理工作。
王秋菊(1978),女,云南人,云南电网公司普洱供电局调度中心副主任,大专,从事电网调度管理工作。
关键词:数字化,互操作性,信息安全,加密技术 ,隔离装置
1.引言
IEC61850[1]标准全称是背对着通信网络和系统,它规范了变电站内智能电子设备之间的通信行为和相关的系统要求,是变电站自动化系统通信体系结构的一个国际标准,IEC61850的运用大幅度改善变电站自动化系统智能电子设备的数据集成,把变电站分成站控层、间隔层、过程层,站控层通过高速网络汇总全站实时数据信息,并将信息送往调度和集控中心,接受有关控制命令并转间隔层、过程层执行,并且还具有站内监控、人机联系、设备在线监测、在线修改参数等功能。具体设备包括变电站监控系统、远动系统、五防系统、电能量系统、通信控制系统、图像监控系统。
随着IEC61850在数字化变电站的推广运用,大家都在研究通过IEC61850规约实现同视频监控、信息管理系统等系统接口,系统间的通信在满足网络安全防护要求,信息的安全性必须要求得到保证。
2 .数字化变电站通信关键技术
IEC61850运用于数字化变電站使变电站实现了二次设备的网络化,设备间信息交换通过网络交换机实现,信息交换主要靠网络安全对策、VLAN技术、数据加密技术、信息隔离来实现变电站网络信息的安全防护。
2.1 数字化变电站信息安全对策
虽然基于IEC 61850标准协议建立起来的通信网络体系结构在上层协议上是一致的,而且也大大提高变电站内设备的互操作性和互换性,但是协议的开放性和标准性同样带来一个重要的问题:二次系统的安全性问题。数字化变电站内由于各种智能电子设备的大量应用,变电站内运行、状态和控制等数字化信息需要传送,负责传送这些信息的网络通讯系统成为数字化变电站的重要平台,因而,网络可靠性直接关系着数字化变电站的良好运行。所以信息安全和网络可靠性自然成为人们较为关注的两个焦点。目前解决这两个问题主要采用的技术措施分为两类,即加密技术和防火墙技术。
2.2 加密技术
加密技术的基本原理是对网络中传输的数据进行加密处理,到达目的地址后再解密还原为原始数据,从而防止非法用户对信息的截取和盗用。
加密技术主要分为数据传输加密和数据存储加密。数据传输加密技术主要是对传输中的数据流进行加密,常用的有链路加密、节点加密和端到端加密三种方式。
传输数据仅在物理层前的数据链路层进行加密,不考虑信源和信宿的方式属于链路加密,它用于保护通讯节点间的数据,接收方是传送路径上的各台节点机,信息在每台节点机内都要被解密和再加密,依次进行,直至到达目的地。
节点加密方法与链路加密类似,不同的是在节点处采用一个与节点机相连的密码装置,密文在该装置中被解密并被重新加密,明文不通过节点机,避免了链路加密节点处易受攻击的缺陷。
端到端加密是在应用层完成的,是为数据从一端到另一端提供的加密方式。数据在发送端被加密,在接收端解密,中间节点处不以明文的形式出现。在端到端加密中,除报头外的的报文均以密文的形式贯穿于整个传输过程,只是在发送端和接收端才有加密、解密设备,报文在中间任何节点均不解密,因此,不需要有密码设备,同链路加密相比,可减少密码设备的数量。另一方面,信息是由报头和报文组成的,报文为要传送的信息,报头为路由选择信息,由于网络传输中要涉及到路由选择,若使用链路加密,则报文和报头两者均须加密。而使用端到端加密时,由于通道上的每一个中间节点虽不对报文解密,但为将报文传送到目的地,必须检查路由选择信息,因此,只能加密报文,而不能对报头加密。这样就容易被某些通讯分析察觉,而从中获取某些敏感信息。
链路加密对用户来说比较容易,使用的密钥较少,而端到端加密比较灵活,对用户可见。在对链路加密中各节点安全状况不放心的情况下也可使用端到端加密方式。
2.3 防火墙技术
防火墙技术通过对网络的隔离和限制访问等方法,来控制网络的访问权限,从而保证变电站综合自动化系统的网络安全。但是由于防火墙只能够对跨越网络边界的信息进行监测、控制,而对网络内部人员的攻击不具备防范能力。因此单纯依靠防火墙来保护网络的安全性是不够的,还必须与其它安全措施(如加密技术等)综合使用,才能达到目的。 2.4 VLAN技术的运用
VLAN技术的运用,能将不同地点、不同网络、不同用户组合在一起,形成一个虚拟的网络环境 ,就像使用本地LAN一样方便、灵活、有效。VLAN可以降低移动或变更工作站地理位置的管 理费用,特别是一些业务情况有经常性变动的公司使用了VLAN后,这部分管理费用大大降低。
VLAN可以提供建立防火墙的机制,防止交换网络的过量广播。使用VLAN,可以将某个交换端口或用户赋于某一个特定的VLAN组,该VLAN组可以在一个交换网中或跨接多个交换机, 在一个VLAN中的广播不会送到VLAN之外。同样,相邻的端口不会收到其他VLAN产生的广播。这样可以减少广播流量,释放带宽给用户应用,减少广播的产生。
一个VLAN就是一个单独的广播域,VLAN之间相互隔离,这大大提高了网络的利用率,确保了网络的安全保密性。人们在LAN上经常传送一些保密的、关键性的数据。保密的数据应 提供访问控制等安全手段。一个有效和容易实现的方法是将网络分段成几个不同的广播组, 网络管理员限制了VLAN中用户的数量,禁止未经允许而访问VLAN中的应用。交换端口可以基于应用类型和访问特权来进行分组,被限制的应用程序和资源一般置于安全性VLAN中。
2.5 信息隔离及防护 随着通信技术和网络技术的发展,安全大区和管理大区数据交换也越来越频繁。电力一次设备的改善使得其可控性能满足闭环的要求,变电站逐步实现无人职守,大量采用远方控制,对电力控制系统和数据网络的安全性、可靠性、实时性提出了新的严峻挑战。而另一方面,Internet技术和因特网已得到广泛使用,同时病毒和黑客也日益猖獗。
信息交换在没有进行有效安全隔离的情况下与其他数据网络互连,构成了对电网安全运行的严重隐患。除此之外,还存在黑客在调度数据网中采用“搭接”的手段对传输的电力控制信息进行“窃听”和“篡改”,进而对电力一次设备进行非法破坏性操作的威胁。
电力专用安全隔离装置作为安全区I/II与安全区III的必备边界,要求具有最高的安全防护强度,是安全区I/II横向防护的要点。
其中,安全隔离装置(正向)用于安全区I/II到安全区III的单向数据传递;安全隔离装置(反向)用于安全区III到安全区I/II的单向数据传递。
3.我局110kV景东变安全大区与管理大区信息隔离和防护措施
我局110kV景东变二次设备实现了网络化,信息交换主要通过网络交换机化VLAN实现不同设备间信息交换,安全大区的信息交换主要是通过VLAN及时进行划分实现了信息的软隔离和防护。
视频图像和变电站操作联动的运用将管理大区的信息有效结合于安全大区,跨区间的边界防护是网络安全防护的重点部位,按照南方电网公司网络安全防护方针“整体部署、安全分区、横向隔离、纵向认证”,跨区信息交换必须使用物理隔离,按照网络安全防护要求我局110kV景东变图像监控系统同变电站自动化系统间部署了珠海鸿瑞单比特正向隔离装置,实现了跨区间信息的有效隔离和防护。
4.結束语
讲述了数字化变电站的网络通信关键技术:网络安全对策、VLAN技术、数据加密技术、信息隔离及防护,重点讲述我局110kV景东变安全大区与管理大区信息隔离和防护措施,经过实际运行证明我局110kV景东变安全大区与管理大区信息隔离和防护措施是可行的。
参考文献
[1] 梁志斌 变电站综合自动化及发展[J]. 湖北电力.2000.(3):17—18
[2] 任雁铭,秦立军,杨奇逊. IEC 61850通信协议体系介绍和分析[J]. 电力系统自动化.2000.24(8):62—64
[3] 邱崇霞 加密技术在网络中的应用[J].科技信息(学术研究). 2007年08期:191
作者简介:
梁鸭红(1978),男,云南人,云南电网公司普洱供电局调度中心自动化班班长,本科,从事调度自动化工作。
黄丕波(1977),男,云南人,云南电网公司普洱供电局调度中心主任,大专,从事电网调度管理工作。
王秋菊(1978),女,云南人,云南电网公司普洱供电局调度中心副主任,大专,从事电网调度管理工作。